Tag: security

All the articles with the tag "security".

[security] 關閉 ssh 使用密碼登入，僅允許 authorized_keys 登入
Published:Apr 24, 2022 at 04:05 AM (2 min read)
如果你也是自己有自架機器或是購買雲端主機商（DigitalOcean / Linode....）服務的使用者，多少會利用 `sshd` 服務啟用允許 ssh 連線，如果本身沒有限制 22 port 的相關防火牆設定，每天基本上都會有大量的惡意使用者或程式嘗試連線你的機器，基礎的話可以先設定 fail2ban 相關設定做一些阻擋。
[security] perfctl 惡意程式佔用 cpu / memory
Published:Apr 24, 2022 at 03:44 AM (3 min read)
這兩天收到了自架的機器上資源超出 100% 的通知，進去機器使用 `htop` 觀察後，看到有個不明的 procss 名為 **perfctl** 佔了非常高的 cpu / memory 使用量。
[security] X-XSS-Protection
Published:May 14, 2017 at 07:54 AM (2 min read)
X-XSS-Protection 是一個在早期瀏覽器並不支援 CSP 時，IE 所開發出預防 XSS 攻擊的 header，後來 chrome 與 sarfari 等瀏覽器也開始支援。
[security] Content-Security-Policy 增加網頁安全的 http header，防禦 XSS 跨站攻擊 script
Published:Apr 23, 2017 at 02:22 PM (3 min read)
Content-Security-Policy 為瀏覽器目前所實作的一個標準，主要是用在防禦 XSS 攻擊的標準．
[security] Set-Cookie: HttpOnly ，避免 XSS 攻擊時存取你的 session id
Published:Nov 23, 2016 at 11:38 AM (2 min read)
當今天網站不小心被發現有 XSS 漏洞時，攻擊者很可能會透過 javascript 盜取你的 cookie 中的 session id，來盜取帳號。
[security] http(s) header X-Content-Type-Options，避免瀏覽器執行不符 Content-type 的操作
Published:Nov 23, 2016 at 10:49 AM (2 min read)
X-Content-Type-Options 可以避免瀏覽器執行不符合 Content-type 的操作

Tag: security

[security] 關閉 ssh 使用密碼登入，僅允許 authorized_keys 登入

[security] perfctl 惡意程式佔用 cpu / memory

[security] X-XSS-Protection

[security] Content-Security-Policy 增加網頁安全的 http header，防禦 XSS 跨站攻擊 script

[security] Set-Cookie: HttpOnly ，避免 XSS 攻擊時存取你的 session id

[security] http(s) header X-Content-Type-Options，避免瀏覽器執行不符 Content-type 的操作